In einem Satz. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) mit Sitz in Schwerin überwacht ca. 30.000 Unternehmen und alle öffentlichen Stellen — geleitet von Sebastian Schmidt, mit Schwerpunkten Tourismus, Gesundheitswesen und kommunale IT.
MV ist klein, hat aber wegen Tourismus (Ostsee, Mecklenburgische Seenplatte) intensive Verarbeitung von Gästedaten. Siehe ergänzend BfDI.
Wichtige Punkte
- Sitz Schwerin, ca. 20 Mitarbeitende — kleinste Länderbehörde.
- Aktuelle Leitung: Sebastian Schmidt (seit 2023).
- Schwerpunkte: Tourismus, Gesundheit, Werften, Kommunen.
- Etwa 900 Beschwerden pro Jahr.
- Hohe Saisonalität bei Beschwerden (Sommermonate).
1. Rechtsgrundlage
Datenschutzgesetz Mecklenburg-Vorpommern (DSG M-V), DSGVO Art. 51. Wahl durch Landtag, 6 Jahre.
2. Zuständigkeit
| Bereich | Beispiel | Aufsicht |
|---|---|---|
| Privatunternehmen MV | Werften, Hotels | LfDI MV |
| Öffentliche Stellen | Landesregierung | LfDI MV |
| Kommunen | Rostock, Schwerin | LfDI MV |
| Universitäten | Greifswald, Rostock | LfDI MV |
3. Aktueller Leiter
Sebastian Schmidt, seit 2023 im Amt. Vorgänger Heinz Müller (2009-2022) prägte die Behörde über 13 Jahre. Schmidt setzt auf Digitalisierung und KI-Themen.
4. Sanktionspraxis
Sehr moderat: typisch 2.500-25.000 €. Höchste bekannte Sanktion: ca. 80.000 € gegen Reiseveranstalter (2021) wegen Buchungsdaten-Weitergabe.
5. Bekannte Verfahren
- Reiseveranstalter Ostsee: 80.000 € wegen Datenweitergabe.
- Klinikum Rostock: Verwarnung wegen Patientendaten-IT.
- Stadtwerke: Mängelrüge zu Smart-Meter-Rollout.
6. Schwerpunkte 2026
- Tourismus (Gästedaten, Buchungsplattformen, Hotel-Apps).
- Gesundheitswesen (Krankenhäuser, niedergelassene Ärzte).
- Werften (Beschäftigtendatenschutz, Werkschutz).
- Kommunale IT und Schulen.
7. Datenpannenmeldung
Online-Formular auf datenschutz-mv.de. Frist 72 Stunden nach Art. 33. Siehe Datenpanne melden.
8. Beratung
Schriftliche Beratung kostenlos. Workshops für kommunale DSB und Tourismusbetriebe. Saisonale Hinweise zu Sommerthemen (Bilder, Social-Media).
9. Beschwerden
Bearbeitungsdauer 3-7 Monate. Online-Portal oder Brief an Werderstraße 74a, Schwerin.
10. Tätigkeitsbericht 2024
- 900 Beschwerden
- 400 Datenpannenmeldungen
- 4 Bußgeldverfahren
- 110.000 € Gesamtvolumen
11. Tool-Unterstützung
Legiscope bietet branchenspezifische Vorlagen für Tourismus und Gesundheitswesen.
12. Tätigkeitsberichte 2022-2024 im Vergleich
| Kennzahl | 2022 | 2023 | 2024 |
|---|---|---|---|
| Beschwerden | -10% | +5% | aktueller Stand |
| Datenpannenmeldungen | ca. 80% | +12% | +10% |
| Bußgeldverfahren | 3-5 | 4-6 | 5-8 |
| Sanktionsvolumen | Basislinie | +25% | +40% |
| Beratungsanfragen KMU | 250+ | 320+ | 400+ |
Steigerungen bei Datenpannenmeldungen sind kein Indikator für sinkende Sicherheit, sondern für gestiegene Meldedisziplin nach Art. 33 DSGVO. Die Behörde wertet Trends jährlich aus und veröffentlicht den Tätigkeitsbericht im Frühjahr des Folgejahres.
13. Vergleich mit Nachbar-Ländern
| Land | Personal | Sanktionsvolumen 2024 | Profil |
|---|---|---|---|
| Bayern (BayLDA) | 110 | 7.500.000 € | sanktionsstark |
| Berlin (BlnBDI) | 90 | 3.200.000 € | strikt zu Big Tech |
| Hamburg (HmbBfDI) | 50 | 1.900.000 € | konsumentenstark |
| NRW (LDI NRW) | 130 | 4.100.000 € | industrieorientiert |
| Hessen (HBDI) | 100 | 2.600.000 € | finanzfokussiert |
| Baden-Württemberg (LfDI BW) | 80 | 1.800.000 € | technisch-präzise |
Wer Niederlassungen in mehreren Ländern hat, sollte die unterschiedlichen Stile kennen — siehe etwa BayLDA oder die BlnBDI in Berlin. Bei grenzüberschreitenden Verfahren greift das One-Stop-Shop-Prinzip nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde.
14. Konkrete Sanktionsfälle (anonymisierte Auswertung)
Typische Verstöße in den letzten 24 Monaten:
- Cookie-Banner ohne echte Ablehnoption (TTDSG § 25): Bußgelder 5.000-25.000 € im Mittelstand.
- Unverschlüsselte E-Mails mit Gesundheitsdaten: 8.000-65.000 €.
- Mitarbeiterüberwachung ohne Information (Art. 13 DSGVO): 15.000-50.000 €.
- AVV fehlend oder veraltet (Art. 28): 5.000-30.000 € — siehe Auftragsverarbeitungsvertrag AVV.
- Bewerberdaten zu lange gespeichert (Art. 5 Abs. 1 lit. e): 3.000-20.000 €.
- Offene Backup-Server, ungesicherte Datenbank-Snapshots (Art. 32): 20.000-120.000 €.
Schwerere Verfahren landen wegen Komplexität oder Grenzüberschreitung beim BfDI (BfDI) oder werden im EDSA-Verbund koordiniert.
15. Häufige Fehler in regionalen KMU
- Fehlender oder veralteter Auftragsverarbeitungsvertrag mit IT-Dienstleister, Druckerei, Lohnbüro.
- Verwendung von Microsoft 365 ohne dokumentierte Risikoabwägung (Schrems II / TIA).
- Kein dokumentierter Löschprozess für Bewerberdaten, Kundendaten, Logfiles.
- Cookie-Banner ohne echte Ablehnoption gem. TTDSG § 25.
- Bilder von Veranstaltungen ohne Einwilligungsdokumentation.
- Pflegedokumentation oder Personalakten ohne Rollen-/Zugriffsmatrix nach Art. 32.
- Externe Newsletter-Versender ohne Double-Opt-In-Nachweis.
- Bewerberdaten länger als 6 Monate ohne Erlaubnistatbestand.
- Verspätete Datenpannenmeldung — Frist 72 h nach Kenntnis (Datenpanne melden).
- Kameraüberwachung ohne Beschilderung und ohne Interessensabwägung nach Art. 6 Abs. 1 lit. f.
16. Best Practices
Empfohlenes dreistufiges Vorgehen: (1) Bestandsaufnahme über Art. 30-Verzeichnis, (2) Risikoanalyse pro Verarbeitungstätigkeit nach DSGVO Art. 32 Sicherheit, (3) jährliche Wirksamkeitsprüfung mit DSB-Beteiligung. Für Schulen und Kommunen verweist das Behördennetzwerk auf das BSI-Grundschutz-Profil “Kommunalverwaltung”. Für Forschungsinstitute gilt die Orientierungshilfe der DSK “Forschung mit personenbezogenen Daten” (Stand 2024). Krankenhäuser sollten zusätzlich den B3S Medizin der DKG anwenden.
17. Internationale Datentransfers
Bei Drittlandstransfers nach Art. 44 ff. DSGVO sind seit Schrems II zwingend: SCC (Standard Contractual Clauses 2021/914), Transfer Impact Assessment (TIA) nach EDSA-Empfehlung 01/2020, dokumentierte zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung). Das EU-US Data Privacy Framework (Adequacy 2023) reduziert Aufwand bei zertifizierten US-Anbietern, ersetzt aber nicht die TIA bei Sub-Prozessoren. Die Behörde prüft Stichproben bei Cloud-Nutzern und verlangt im Konfliktfall Vorlage des TIA.
18. Detailaspekte zur Aufsichtspraxis
Die Behörde nutzt ein dreistufiges Eskalationsmodell: (1) informelle Hinweise per E-Mail, (2) förmliche Anhörung mit Fristsetzung, (3) Bußgeldverfahren oder Anordnung. In 80 % der Fälle endet das Verfahren bereits in Stufe 1 oder 2. Mitwirkung wirkt sich strafmildernd aus — vollständige Unterlagen, schnelle Antwort, eigenständig nachgebesserte Defizite reduzieren das Bußgeld um typisch 30-50 %.
Bei wiederholten Verstößen oder grober Fahrlässigkeit greift die maximale Bußgeldhöhe nach Art. 83 Abs. 5 DSGVO (bis 20 Mio. € oder 4 % Konzernumsatz). Die EDSA-Leitlinie 4/2022 zur Bußgeldberechnung ist verbindliche Grundlage — Behörden weichen nur in begründeten Ausnahmefällen ab.
19. Kooperation mit anderen Behörden
Die Behörde kooperiert über die Datenschutzkonferenz (DSK) mit allen Länderbehörden und dem BfDI — besonders eng mit der LDA Brandenburg im südlichen Nachbarland. Gemeinsame Beschlüsse betreffen bundesweite Standards (z.B. Microsoft 365, Cookie-Banner, Beschäftigtendaten). Auf EU-Ebene über den Europäischen Datenschutzausschuss (EDSA) — One-Stop-Shop-Verfahren mit federführender Behörde. Bei Cybersecurity-Vorfällen Schnittstelle zum BSI über die NIS2 Deutschland-Umsetzung.
Fazit
Klein und ressourcenbeschränkt, aber für saisonale Tourismusthemen die spezialisierteste Behörde Deutschlands. Wer Gästedaten verarbeitet, sollte ihre Hinweise kennen.
FAQ
Wer leitet die Aufsicht in MV?
Sebastian Schmidt, im Amt seit 2023, Nachfolger des langjährigen Amtsinhabers Heinz Müller.
Welche Branchen sind besonders relevant?
Tourismus, Gesundheitswesen, Werftindustrie, kommunale Versorgung.
Wo melde ich Datenpannen?
Online auf datenschutz-mv.de oder per E-Mail an info@datenschutz-mv.de.
Welche Bußgeldhöhen sind üblich?
2.500-25.000 € im Regelfall; höchste bekannte Sanktion 80.000 €.
Was sind aktuelle Themen?
Tourismus-Buchungsplattformen, Krankenhaus-IT, kommunale Smart-City-Projekte.
Wie funktioniert die DSFA-Konsultation?
Bei verbleibendem hohen Restrisiko nach Art. 36 DSGVO ist die DSFA der Behörde vorzulegen. Vorzulegen sind: Verarbeitungsbeschreibung, Notwendigkeitsprüfung, Risikoanalyse nach SDM-Methode (Standard-Datenschutzmodell), TOM-Liste nach DSGVO Art. 32 Sicherheit, DSB-Stellungnahme. Die Behörde reagiert binnen acht Wochen, verlängerbar auf 14 Wochen. Konsultationen enden meist mit Empfehlungen, seltener mit Auflagen oder Untersagungen.
Wie hoch ist die durchschnittliche Bußgeldquote pro Beschwerde?
Bundesweit führen etwa 0,5-1,5 % der Beschwerden zu Bußgeldverfahren, weitere 5-10 % zu förmlichen Anordnungen oder Verwarnungen. Die meisten Fälle enden mit Beratung, Hinweis oder vereinfachtem Verfahren. Die genaue Quote schwankt stark je nach Behörde und Sanktionsphilosophie.
Welche Rolle spielt die Behörde bei NIS2?
NIS2-Aufsicht liegt grundsätzlich beim BSI (NIS2 Deutschland), doch bei kommunalen Versorgern und KRITIS-Sektoren überschneiden sich Datenschutz und Cybersicherheit. Die Datenschutzbehörde prüft die TOM nach Art. 32 DSGVO; gemeinsame Audits mit BSI sind möglich.
Wie läuft ein Beschwerdeverfahren konkret ab?
Eingang der Beschwerde → formale Prüfung (Zuständigkeit, Begründetheit) → Aufforderung zur Stellungnahme an den Verantwortlichen (Frist 2-4 Wochen) → bei Bedarf Vor-Ort-Prüfung oder schriftliche Auskünfte → Anhörung → Entscheidung (Verwarnung, Anordnung, Bußgeld) → Rechtsweg über das Verwaltungsgericht. Beschwerdeführer werden nach Art. 77 DSGVO über das Ergebnis informiert.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial